企業(yè)建站知識(shí) 推廣知識(shí) 小程序微信營(yíng)銷(xiāo) APP開(kāi)發(fā) 前端設(shè)計(jì) MindManager 開(kāi)發(fā)語(yǔ)言自媒體

搭建本地HTTPS環(huán)境

發(fā)表日期：2018-09 文章編輯：小燈瀏覽次數(shù)：2569

HTTPS 是http的擴(kuò)展，簡(jiǎn)單來(lái)說(shuō)就是在 HTTP 協(xié)議基礎(chǔ)上加了一層TLS/ SSL 加密協(xié)議。

Hypertext Transfer Protocol Secure (HTTPS) is an extension of the Hypertext Transfer Protocol (HTTP) for secure communication over a computer network, and is widely used on the Internet.[1][2] In HTTPS, the communication protocol is encrypted using Transport Layer Security (TLS), or formerly, its predecessor, Secure Sockets Layer (SSL). The protocol is therefore also often referred to as HTTP over TLS,[3] or HTTP over SSL.
摘自Wikipedia HTTPS

2.2 TLS和SSL

兩種保護(hù)通信安全和數(shù)據(jù)完整性的協(xié)議，可以當(dāng)做并列，前后關(guān)系。

傳輸層安全性協(xié)議（Transport Layer Security），及其前身安全套接層（Secure Sockets Layer）是一種安全協(xié)議，目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。
摘自Wikipedia TLS

2.3 證書(shū)

2.3.1 什么是證書(shū)

證書(shū)由第三方 CA 認(rèn)證機(jī)構(gòu)頒發(fā)，網(wǎng)站所有者向 CA 機(jī)構(gòu)申請(qǐng)證書(shū)，證書(shū)中包含了公鑰、頒證機(jī)構(gòu)、網(wǎng)址、失效日期。如果網(wǎng)站使用假冒證書(shū)，瀏覽器向 CA 認(rèn)證機(jī)構(gòu)發(fā)送證書(shū)是否合法的請(qǐng)求，如果檢測(cè)非法證書(shū)，瀏覽器可以直接斷開(kāi)請(qǐng)求。

簡(jiǎn)而言之，證書(shū)是服務(wù)器端和客戶端安全通信的憑證。

2.3.2 常見(jiàn)SSL證書(shū)格式

根據(jù)不同的服務(wù)器以及服務(wù)器的版本，我們需要用到不同的證書(shū)格式，就市面上主流的服務(wù)器來(lái)說(shuō)，大概有以下格式：

.DER .CER，文件是二進(jìn)制格式，只保存證書(shū)，不保存私鑰。
.PEM，一般是文本格式，可保存證書(shū)，可保存私鑰。
.CRT，可以是二進(jìn)制格式，可以是文本格式，與 .DER 格式相同，不保存私鑰。
.PFX .P12，二進(jìn)制格式，同時(shí)包含證書(shū)和私鑰，一般有密碼保護(hù)。
.JKS，二進(jìn)制格式，同時(shí)包含證書(shū)和私鑰，一般有密碼保護(hù)。

具體可查看SSL證書(shū)格式普及。

2.3.3 CSR，KEY和X.509

CSR 是Certificate Signing Request的縮寫(xiě)，即證書(shū)簽名請(qǐng)求，這不是證書(shū)，可以簡(jiǎn)單理解成公鑰，生成證書(shū)時(shí)要把這個(gè)提交給權(quán)威的證書(shū)頒發(fā)機(jī)構(gòu)。
KEY 通常指私鑰
X.509 是一種證書(shū)格式.對(duì)X.509證書(shū)來(lái)說(shuō)，認(rèn)證者總是CA或由CA指定的人，一份X.509證書(shū)是一些標(biāo)準(zhǔn)字段的集合，這些字段包含有關(guān)用戶或設(shè)備及其相應(yīng)公鑰的信息。

3. 兩種渠道獲得SSL證書(shū)

3.1 自簽

一般本地測(cè)試使用這種方法
由于我使用tomcat作為web容器，這里就用java自帶keytool工具生成。

3.1.1 cmd輸入keytool命令

keytool -genkey -alias cas -keyalg RSA -keysize 2048-keypass changeit -storepass changeit -keystore httptestkian.jks-dname "CN=http://httptestkian.com/,OU=httptestkian.com,O=httptestkian,L=httptestkian,ST=httptestkian,C=CN"

使用的參數(shù)含義

參數(shù)名稱	參數(shù)含義
-genkey	在用戶主目錄中創(chuàng)建一個(gè)默認(rèn)文件”.keystore”,還會(huì)產(chǎn)生一個(gè)mykey的別名，mykey中包含用戶的公鑰、私鑰和證書(shū)
-alias	產(chǎn)生別名缺省值”mykey”
-keyalg	指定密鑰的算法 (如 RSA DSA（如果不指定默認(rèn)采用DSA）)
-keysize	指定密鑰長(zhǎng)度缺省值1024
-keypass	指定別名條目的密碼(私鑰的密碼)
-storepass	指定密鑰庫(kù)的密碼(獲取keystore信息所需的密碼)
-keystore	指定密鑰庫(kù)的名稱(產(chǎn)生的各類信息將不在.keystore文件中)
-dname	指定證書(shū)擁有者信息例如： “CN=名字與姓氏,OU=組織單位名稱,O=組織名稱,L=城市或區(qū)域名稱,ST=州或省份名稱,C=單位的兩字母國(guó)家代碼”

再列一些keytool常用的例子

# 把密鑰庫(kù)導(dǎo)出成證書(shū)文件 keytool -export -alias cas.server.com -keystore casServer.keystore -file casServer.crt -storepass changeit # 查看證書(shū) keytool -printcert -file casServer.crt # 將創(chuàng)建過(guò)的證書(shū)導(dǎo)入java的cacerts證書(shū)庫(kù)(需要管理員權(quán)限) # 切換到目錄 ${JAVA_HOME}/jre/lib/security keytool -import -alias cas.server.com -keystore cacerts -file casServer.keystore # 查看JDK證書(shū)內(nèi)容 keytool -list -v -keystore cacerts -alias cas.server.com # 根據(jù) alias 別名刪除 JDK 證書(shū)， JDK證書(shū)目錄： cd 'C:\Program Files (x86)\Java\jdk1.8.0_172\jre\lib\security\' keytool -delete -alias cas.server.com -keystore cacerts

如果對(duì)命令不熟悉，可以使用在線工具CSR在線生成工具生成

3.JPG
點(diǎn)擊KeyTool生成即可獲得命令，將命令粘貼到命令行執(zhí)行即可。

1.JPG

3.2 第三方CA頒發(fā)

一般是收費(fèi)的，但是指定域名一年使用騰訊阿里都可以免費(fèi)生成，前提條件是你擁有一個(gè)域名。
比如說(shuō)騰訊云，SSL免費(fèi)購(gòu)買(mǎi)鏈接

4.JPG
具體步驟參照官方指引。
購(gòu)買(mǎi)成功并驗(yàn)證域名之后可下載證書(shū)文檔，比如說(shuō)申請(qǐng)的為www.testdomain.com，則下載文件為www.testdomain.com.zip。文件中包含針對(duì)IIS，tomcat，nginx等多種web容器適用的證書(shū)文件。

4.配置tomcat實(shí)現(xiàn)HTTPS

修改conf/server.xml文件

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig><Certificate certificateKeystoreFile="D:/temp/httptestkian.com.jks"certificateKeystorePassword="changeit" type="RSA" /></SSLHostConfig> </Connector>

重啟tomcat服務(wù)，瀏覽器中輸入https://localhost:8443/cas/login

2.JPG

5. tomcat8配置HTTP自動(dòng)跳轉(zhuǎn)HTTPS

在conf/web.xml中</welcome-file-list>節(jié)點(diǎn)后面添加

<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>

6. 結(jié)語(yǔ)

如有疑問(wèn)，歡迎留言共同探討。

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://www.junxiaosheng.cn/20398.html

上一篇：<Corda網(wǎng)絡(luò)的證書(shū)簽發(fā) 下一篇：iOS安全系列之二：HTTPS進(jìn)階>